Windowsが起動しない状態からのウイルス駆除

手動操作による復旧

いわゆるコンピューターウイルスと呼ばれるような悪意のあるプログラムが感染の対象とするものは、主にOSです。
ウイルスといえどもプログラムなので、何らかのプラットフォーム上で動作する必要があるからです。
最も普及しているOSがWindowsなので、
ウイルス作成者側からすると、Windowsをターゲットとするのが最も効率がいいことになります。

ウイルスのほとんどは、Windowsの起動と同時に実行されます。
ユーザーに気づかせず裏で悪さをするウイルスもありますが、
Windowsの起動中に実行され、そのままWindowsが操作できなくなってしまうウイルスが多いです。
というか、わかりやすいウイルスです。

こうした起動時に実行されるウイルスのほとんどが、感染の際にレジストリを書き換えます
Windowsの起動時にウイルスを実行するよう、レジストリに記述しているのです。

レジストリの書き換えられた部分がわかっていれば、それを修正することでWindowsを復旧することができます。
でも、ウイルスに感染した状態では、基本的にWindowsを正常起動できません。
そこで、インストールされているWindowsを起動せず、レジストリを修正する必要があります。

ウイルスの正体

悪意のあるプログラムが一般にウイルスと呼ばれていますが、厳密にはトロイの木馬が主流になっています。
トロイの木馬は、それ自体がひとつのプログラムです。
厳密な意味でのウイルスのように、すでにあるファイルに感染しているわけではありません。
狭義のウイルスがファイルに感染しているとすると、
トロイの木馬はWindowsのシステムに感染しているのです。

一般には、トロイの木馬もワームも含めてコンピューターウイルスとされることが多いので、
ここでも広い意味でウイルスという言葉を用います。

ウイルスは、

  • ウイルスの実体であるプログラム
  • 改ざんされたレジストリ

によって構成されています。
つまり、悪意のあるプログラム本体と、それを実行するよう仕組まれたWindowsによって成り立っているのです。

プログラムファイルの保存とレジストリの変更というのは、通常のアプリケーションのインストールとまったく同じです。
ウイルスが通常のアプリケーションと違うのは、

  • ユーザーの意図と関係なくインストールを行う
  • アンインストールの手段が用意されていない

ということです。
ウイルスをアンインストールするためには、ユーザーの手動操作によらなければなりません。

つまり、ウイルスを駆除するためには、

  • ウイルス本体であるファイルを削除
  • 改ざんされたレジストリを修正

とすればいいのです。
言うは易く行うは難しですが、この2点を意識することがとても重要です。

ウイルスに感染したWindowsを操作する

ウイルスに感染した状態のWindowsは起動すべきではありませんが、
正常動作しているWindowsから対象のドライブを操作することはできます。
ただし、同じWindowsではありますので、
ウイルスプログラムを実行することができ、感染もする点には注意が必要です。

Windows PE

緊急時に便利なWindows環境として、Windows PEがあります。
「Windows PE」は、CDから起動できるWindowsです。
CDから「Windows PE」を起動すれば、
ハードディスクにインストールされているWindowsがウイルスに感染していようと、
クリーンなWindowsを起動できます

「Windows PE」を起動してハードディスクにアクセスすることで、
ウイルスの削除、レジストリの修正を行うことができます。
特に、「Windows PE」はハードディスクにインストールされているWindowsとは完全に別のシステムで動作しているので、
トロイの木馬であろうと、Windowsのシステムファイルであろうと、自由に操作できるのが強みです。

ウイルスが標的にするレジストリキー

先に述べたとおり、コンピューターウイルスのほとんどはレジストリキーを勝手に書き換えます。
「敵を知り己を知れば百戦危うからず」じゃないですが、
どういうウイルスに感染し、今何が起こっているのかを確認するのが第一です。

ウイルスといえどもプログラムなので、基本的に決められた動作しかしません。
つまり、ウイルスの種類によって動作が決まります

ウイルスの情報は、インターネット上に公開されています。

ウイルス情報 - ESET

爆発的に感染が拡大してたりすると、ニュースにも採り上げられたりするので、
どのケースに当てはまるのかを確認しておくべきです。

とはいえ、傾向として多くのウイルスが標的にするレジストリキーというのがあります。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ここに書かれているプログラムは、Windowsの起動と同時に実行されます。
いわゆる、スタートアップです。

ウイルスが原因でWindowsが正常起動できないとすれば、上記レジストリキーが改ざんされている可能性が高いです。

ウイルスに感染したWindowsを起動させずにレジストリを修正するには、前述の「Windows PE」を使えばいいです。
とはいえ、通常のレジストリエディタとは操作方法が若干異なりますので、下記ページにて説明します。

レジストリの修正

変なソフトが勝手に立ち上がるとか、ホームページが変わって元に戻せないとか、
そういうのはウイルスが狙ったとおりに動作している、つまりウイルスが正しくインストールされているとも言えるので、
ウイルスのアンインストールを行えば復旧できる可能性は高いです。